Omówienie wskazówek PUODO dot. monitoringu wizyjnego

W czerwcu 2018 r. na stronie internetowej UODO pojawiły się wskazówki dotyczące monitoringu wizyjnego, przy czym Urząd ogłosił jednocześnie możliwość składania do dokumentu uwag w ramach konsultacji. Sama inicjatywa jest niezwykle cenna, ponieważ prowadzenie monitoringu w kontekście nowych regulacji prawnych wzbudza wiele wątpliwości. Niniejszy artykuł ma na celu przedstawienie głównych kwestii z czerwcowych wskazówek.

Kamery monitoringu wizyjnego towarzyszą nam na co dzień w bardzo szerokim zakresie, pomagając chronić własność materialną czy intelektualną, jednak nie mogą one przy tym naruszać prywatności nagrywanych osób. Zwłaszcza iż nowe technologie i towarzyszące im rozwiązania sprawiają, że osoba nagrana nie zawsze jest tego nagrywania świadoma.

W związku z tym, że brakuje obecnie konkretnych regulacji dotyczących monitoringu, oraz dotyczy on różnych obszarów, należy stosować się do ogólnych przepisów o ochronie danych osobowych jak i szczególnych przepisów sektorowych, w zależności od tego jakiego procesu dotyczy monitoring wizyjny.

W związku z ustawą z 10 maja 2018 r. o ochronie danych osobowych, modyfikacji  w tym zakresie ulegają przepisy Kodeksu pracy, wskazując, że monitoring dotyczący pracowników może mieć miejsce tylko i wyłącznie w ramach: kontroli produkcji, zapewnienia bezpieczeństwa, zapewnienia ochrony tajemnicy przedsiębiorstwa  i ochrony mienia.  Dodatkowo obszar monitorowany nie może obejmować: szatni, stołówek oraz toalet. W sytuacji kiedy administrator monitoruje obszar dozwolony, powinien mieć na uwadze poszanowanie praw i wolności osób fizycznych, co wielokrotnie zostało podkreślone w RODO, ale wynika także z Konstytucji RP czy przepisów sektorowych.

Mając zamiar stosowania monitoringu wizyjnego w organizacji, niezbędne jest wykonanie analizy ryzyka jeszcze przed jego zastosowaniem. Wynik analizy wykaże, czy rzeczywiście użycie kamer dozoru wizyjnego jest niezbędne i konieczne do osiągnięcia celu, jakim jest zapewnienia bezpieczeństwa. Warte rozważenia są inne środki zabezpieczające np. zatrudnienie firmy zapewniającej ochronę. Jeśli wynik analizy nie będzie wskazywał ryzyka naruszenia praw i wolności osób fizycznych lub będzie ono niskie, to prawną podstawę przetwarzania danych może stanowić dla administratora prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), natomiast nie może mieć ona zastosowania do administratorów, będących podmiotami publicznymi.

Jeśli prowadzenie monitoringu okaże się niezbędne, lub organizacja jest zobligowana do jego stosowania przepisami prawa, należy go używać w taki sposób, aby nie naruszał praw i wolności osób, których dane będą rejestrowane.

Administrator danych podejmując decyzję o stosowaniu monitoringu zobowiązany jest do:

  • zdefiniowania celów przetwarzania i zapewnienia minimalizacji danych;
  • spełnienia obowiązku informacyjnego wobec podmiotów danych;
  • zapewnienia realizacji przysługujących praw podmiotom danych;
  • przechowywania danych nie dłużej niż jest to konieczne (retencja nagrań z monitoringu pracowników wynosi maksymalnie 3 miesiące, co warunkują przepisy Kodeksu pracy, Prawa oświatowego i ustawy o samorządzie gminnym), z wyjątkiem sytuacji, kiedy nagranie służy do celów dowodowych w postępowaniu;
  • oraz zastosowania odpowiednich, adekwatnych środków bezpieczeństwa ochrony danych osobowych.

Należy zwrócić uwagę, że jeśli nagrania mogą odtwarzać obraz klatka po klatce, by rozpoznać osobę której dane są przetwarzane przy jednoczesnym użyciu odpowiednich metod technicznych, dokonujących automatycznej analizy obrazu, to może dochodzić do przetwarzania szczególnych kategorii danych.

Zastosowanie monitoringu w firmach, może powodować pokusę użycia ukrytych kamer w celu np. eliminacji kradzieży, niszczenia mienia, weryfikacji podejrzeń co do pracowników. Takie działania są nielegalne, a wyjątek legalności ich stosowania przewidziany jest jedynie dla odpowiednich służb.

Kiedy administrator lub podmiot przetwarzający muszą wyznaczyć swojego przedstawiciela?

Zgodnie z art. 3 ust. 2 RODO administratorzy danych i podmioty przetwarzające, którzy nie posiadają swojej siedziby na terenie Unii Europejskiej, ale przetwarzają dane osób przebywających na terenie Unii w związku z oferowaniem im towarów lub usług lub monitorowaniem ich zachowania, zobowiązani są do wyznaczenia swojego przedstawiciela.

Obowiązek ten nie ma zastosowania wówczas, kiedy przetwarzanie danych przez administratorów i podmioty przetwarzające:

  • ma charakter sporadyczny i nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych oraz przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Należy podkreślić, że przesłanki te muszą zachodzić łącznie, aby podmiot został zwolniony z powyższego obowiązku.
  • jeżeli administrator jest organem lub podmiotem publicznym.

 

Zgodnie z definicją przedstawicielem może być osoba fizyczna lub prawna, która ma miejsce zamieszkania lub siedzibę w Unii, i która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z rozporządzenia. Wybór właściwego przedstawiciela powinien być uzależniony od charakteru przetwarzania oraz wielkości administratora lub podmiotu przetwarzającego. Istotne jest, aby przedstawiciel miał siedzibę w państwie członkowskim, w którym przebywają osoby, których dane są przetwarzane.

Przedstawiciel działa w imieniu administratora lub podmiotu przetwarzającego i pełni rolę punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane dotyczą w związku z realizacją ich żądań. Należy podkreślić, że wyznaczenie przedstawiciela nie zwalnia powyższych podmiotów z wywiązywania się z obowiązków, jakie nakłada na nich RODO, np. z odpowiedzialności za naruszenia, która spoczywa zarówno na administratorze, jak i podmiocie przetwarzającym. Na przedstawiciela również mogą zostać nałożone sankcje zgodnie z art. 84 ust. 1 RODO.

Ponadto w motywie 80 Preambuły wskazano, że przedstawiciel wykonuje swoje zadania na podstawie pisemnego upoważnienia nadanego mu przez administratora danych lub podmiot przetwarzający i działa tylko zgodnie z tym upoważnieniem. W przypadku kiedy przedstawiciel nie przestrzega zapisów upoważnienia może zostać poddany działaniom egzekucyjnym, mimo że w samym rozporządzeniu nie są przewidziane dla przedstawiciela żadne sankcje z tego tytułu.

Informacja o powołaniu przedstawiciela musi zostać przekazana w obowiązku informacyjnym skierowanym do osób, których dane dotyczą, i należy wskazać w nim jego tożsamość i dane kontaktowe.

Brak powołania przez administratora lub podmiot przetwarzający swojego przedstawiciela, jeśli zachodzą ku temu przesłanki, może prowadzić do zastosowania środków, o których  jest mowa w art. 77 – 78 oraz może skutkować nałożeniem kary pieniężnej  zgodnie z art. 83 ust. 4 lit. a) RODO.

Wymogi i ryzyka wykorzystywania zewnętrznych baz danych osobowych

Jednym z podstawowych zadań działów sprzedażowych i marketingowych w firmach jest pozyskiwanie nowych klientów. W dzisiejszych czasach sukces tych działań w dużej mierze opiera się na pozyskaniu danych osobowych klienta, takich jak: imię i nazwisko, adres e-mail lub numer telefonu. Z punktu widzenia RODO kanały pozyskiwania danych osobowych podzielone są na dwie kategorie:

1. od osoby, której dane dotyczą (np. poprzez wypełnienie formularza na stronie internetowej);

2. w sposób inny niż od osoby, której dane dotyczą (np. zakupując dane osobowe potencjalnych klientów z bazy danych innego właściciela).

Aktualnie, na rynku jest wiele podmiotów, które oferują bazy danych zawierające tzw. leady, czyli podstawowe informacje np. o konsumencie, pozwalające na wykonanie kampanii mailingowej lub telefonicznej. Jest to popularny sposób na pozyskiwanie danych osobowych potencjalnych klientów, ale należy mieć świadomość obowiązków, które trzeba przy tej okazji spełnić oraz ryzyka, które wiąże się z przetwarzaniem tak pozyskanych danych.

Przy zakupie bazy danych zastosowanie ma rozszerzony obowiązek informacyjny, określony w art. 14 RODO. Zgodnie z jego brzmieniem należy poinformować osoby, których dane zostały pozyskane m.in. o źródle ich pozyskania oraz o tym jakie kategorie danych osobowych zostały pozyskane – stanowi to istotne rozszerzenie katalogu informacji w porównaniu do sytuacji, gdy pozyskujemy dane osobowe bezpośrednio od osoby, której one dotyczą.

Poza opracowaniem sposobu przekazania i treści informacji ważny jest również termin, w którym należy to zrobić. RODO określa trzy przypadki, które determinują termin spełnienia obowiązku informacyjnego:

  1. w rozsądnym terminie po pozyskaniu danych osobowych, ale najpóźniej w ciągu miesiąca od ich pozyskania;
  2. najpóźniej przy pierwszej komunikacji z osobą, której dane pozyskaliśmy, jeżeli dane osobowe mają być stosowane do komunikacji z tą osobą;
  3. najpóźniej przy pierwszym ujawnieniu danych osobowych innemu odbiorcy, jeżeli planuje się ujawnić dane osobowe.

Przed pozyskaniem bazy danych osobowych z zewnętrznego źródła warto zastanowić się w jaki sposób zamierzamy spełnić obowiązek informacyjny. Jeżeli konsument nie będzie wiedział jaka firma się z nim kontaktuje oraz skąd dysponuje jego danymi, ryzyko narażenia się na skargę z jego strony wzrasta.

Zdecydowanie więcej problemów może sprawić zapewnienie podstawy prawnej do wykorzystania zakupionych danych w celu prowadzenia działalności marketingowej. Zgodnie z przepisami na komunikację za pośrednictwem poczty elektronicznej lub telefonu konieczne jest pozyskanie dobrowolnej zgody od osoby, do której kierowana będzie komunikacja. W przypadku zakupu bazy danych od innego podmiotu nie mamy wpływu na to, jakiego rodzaju zgodami dysponuje sprzedający lub czy dysponuje jakimikolwiek zgodami. Nie wiemy też czy zostały one pozyskane zgodnie z prawem.

Dostawcy baz danych często zbierają zgody marketingowe o treści wskazującej, że dotyczą one „partnerów” dostawcy lub „firm współpracujących”. Jednocześnie brak jest informacji gdzie można zapoznać się z listą tych podmiotów, co często powoduje, że w praktyce mamy do czynienia ze zgodą in blanco – konsument zgadza się na otrzymywanie informacji marketingowych od nieograniczonej

liczby podmiotów. Można mieć słuszne wątpliwości, czy jako firma korzystająca z takiej bazy będziemy w stanie uzasadnić podstawę prawną do kontaktu w celach marketingowych.

Warto pamiętać, iż firma po zakupie bazy danych staje się jej administratorem i ponosi wszelkie konsekwencje ich przetwarzania: podstawa prawna przetwarzania, obowiązek informacyjny, zgody na komunikację marketingową – wszystkie te elementy „obciążają” nowego administratora. W konsekwencji, w sporze z konsumentem nie będziemy mogli zasłonić się umową z dostawcą bazy danych.

Oczywiście, można zadbać, aby w umowie znalazły się postanowienia nakładające na dostawcę odpowiedzialność za ewentualne kary, które nasza firma zapłaci z powodu wykorzystywania zakupionych danych, ale nie zmienia to faktu, że najpierw ewentualna kara będzie nałożona na nas.

Zgoda dziecka na przetwarzanie danych

Warunki wyrażenia zgody przez dziecko na przetwarzanie danych reguluje art.8  Rozporządzenia. Według RODO zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło lat 16 i wyraziło na to zgodę w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku. W przypadku, gdy dziecko nie ukończyło lat 16, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską  lub opiekę nad dzieckiem. Reguła ta dotyczy dwóch przypadków:

  • wyrażenia zgody zamiast dziecka;
  • potwierdzenia wyrażenia zgody przez dziecko.

Komentowany przepis RODO nie odpowiada jednak na pytanie, kiedy wymagana jest zgoda dziecka, a kiedy można ją zastąpić oświadczeniem osoby sprawującej władzę rodzicielską lub opieką nad dzieckiem. W nawiązaniu do polskiego prawa cywilnego, należy zauważyć, że w sytuacji osób z ograniczoną zdolnością do czynności prawnych (dzieci, które ukończyły lat 13) przepisy Kodeksu cywilnego wskazują na konieczność potwierdzenia czynności prawnej dokonanej przez dziecko dla jej ważności przez opiekuna prawnego, a zatem należy je traktować jako dodatkowe względem oświadczenia dziecka. Natomiast do odwołania zgody wystarczyłoby tylko oświadczenie dziecka które ukończyło 13 lat. W przypadku dziecka poniżej 13 roku życia, należy przyjąć, że oświadczenie przedstawiciela ustawowego powinno być uznane za wystarczające.

Należy zauważyć, że w polskiej ustawie o ochronie danych kwestia granicy wieku nie została uregulowana, co oznacza, że granica wieku w Polsce w tym kontekście zgodnie z RODO wynosi 16 lat. Zgodnie z RODO każde Państwo członkowskie może przewidzieć w swoim prawie niższą granicę wiekową, która wynosi co najmniej 13 lat.

Według RODO administrator uwzględniając dostępną technologię, jest zobowiązany podjąć rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Każdy administrator musi także ocenić, jaki mechanizm będzie w sposób rzeczywisty oraz rozsądny weryfikować wiek dziecka. Ponadto w celu uzyskania świadomej zgody dziecka, administrator ma obowiązek wyjaśnić w jaki sposób i w jakim celu będzie przetwarzać gromadzone dane, przy użyciu języka który jest jasny i zrozumiały dla dziecka.

Wytyczne Europejskiej Rady Ochrony Danych dotyczące terytorialnego zakresu stosowania RODO

23 listopada Europejska Rada Ochrony Danych poinformowała na swojej stronie o możliwości zgłaszania uwag do Wytycznych 3/2018 dotyczących terytorialnego zakresu stosowania RODO  (art. 3).
Uwagi w ramach konsultacji publicznych można zgłaszać do 18 stycznia 2019 r. na adres e-mail: EDPB@edpb.europa.eu.

Wytyczne dotyczące terytorialnego zakresu stosowania RODO mają na celu ujednolicenie zasad współpracy gospodarczej w ramach przetwarzania danych przez administratorów mających siedzibę w EOG, ale także tych, którzy mimo zlokalizowania poza EOG, przetwarzają dane osób przebywających na jego terenie.

 

W opublikowanej przez EROD wersji wytycznych możemy przeczytać także o podejściu do przedstawiciela administratora lub podmiotu przetwarzającego, o którym mowa w art. 27 RODO.

Szczególne zainteresowania wzbudza nieuregulowana do tej pory kwestia możliwości nakładania na przedstawicieli sankcji administracyjnych przez właściwe organy nadzorcze.

 

Więcej informacji pod linkiem: https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en.

Pół roku stosowania RODO – podsumowanie PUODO

Niebawem minie pół roku od kiedy stosowane są przepisy unijnego rozporządzenia o ochronie danych osobowych (RODO). Z tej okazji UODO podjął próbę podsumowania doświadczeń z pierwszego półrocza i opublikował na stronie internetowej materiały zwierające pierwsze przemyślenia.

 

Jednym z nich jest krótki poradnik dla administratorów jak stosować RODO. Zawiera on 10 wskazówek, których wdrożenie ma pomóc administratorom w korzystaniu z przepisów rozporządzenia na co dzień. Wśród nich znajdziemy następujące zalecenia:

  • ustalenie właściwej podstawy zbierania danych,
  • spełnienie obowiązku informacyjnego zgodnie z nowymi zasadami,
  • prowadzenie przejrzystej komunikacji z osobami, których dane dotyczą,
  • respektowanie praw osób,
  • możliwość wycofania zgody w każdym momencie,
  • zgłaszanie naruszeń do Prezesa UODO oraz, jeśli to konieczne, informowanie osoby, których dane zostały naruszone,
  • nie tworzenie zbędnej dokumentacji,
  • informowanie o profilowaniu, jeśli jest stosowane,
  • wyznaczenie IOD i udostępnienie jego danych kontaktowych.

 

Kolejny poradnik dotyczy korzystania z praw gwarantowanych przez RODO. Zawiera on również 10 wskazówek, które mają pomóc osobom indywidualnym korzystać z przysługujących im praw. Zatem osoba:

  • ma prawo wiedzieć, co dzieje się z jej danymi,
  • ma prawo wycofać zgodę w każdym momencie,
  • powinna zostać poinformowana w zrozumiały sposób o przetwarzaniu jej danych osobowych,
  • ma prawo do bycia zapomnianym, ale nie zawsze,
  • ma prawo do informacji o naruszeniu jej danych,
  • ma prawo wnieść sprzeciw, gdy jej dane przetwarzane są w celach marketingowych,
  • ma prawo chronić dzieci przed nieuczciwymi praktykami,
  • ma prawo żądać realizacji swoich praw u administratora,
  • może dochodzić odszkodowania przed sądem, jeśli dane wykorzystywane są niezgodnie z RODO,
  • ma prawo zgłosić skargę do Prezesa UODO.

Dokonując bilansu półrocza UODO pozytywnie odniósł się do rozwiązań stosowanych przez administratorów w celu zapewnienia zgodności z RODO, choć nadal zdarzają się wśród nich i tacy, którzy mają problemy z wdrożeniem nowych przepisów lub przyjęte przez nich rozwiązania są absurdalne. Wdrożenie nowych przepisów pozytywnie wpłynęło na zmianę podejścia do ochrony danych osobowych. Wśród tych najważniejszych efektów UODO wymienia:

  • wzrost znaczenia kwestii ochrony danych osobowych i prywatności,
  • uporządkowanie przez firmy procesów związanych z przetwarzaniem danych osobowych,
  • szybsze reagowanie na żądania osób,
  • uproszczenie i stosowanie klauzul informacyjnych,
  • informowanie osób o naruszeniu ochrony ich danych osobowych,
  • powoływanie inspektorów ochrony danych (IOD),
  • uwzględnienie przepisów RODO przez firmy globalne.

Choć zmiany są widoczne i korzystne dla osób, których dane są przetwarzane, należy pamiętać, iż zapewnienie zgodności z RODO jest procesem ciągłym i firmy muszą podejmować kolejne działania, aby proces ten wciąż doskonalić, np. poprzez pogłębianie wiedzy w zakresie ochrony danych osobowych, doskonalenie analizy ryzyka czy wprowadzenie rozwiązań mających na celu zwiększenie ochrony dzieci.

Kontrola przeprowadzana przez organ nadzorczy – przebieg kontroli (cz. III)

Ustawa przewiduje możliwość przeprowadzenia kontroli także pod nieobecność kontrolowanego. W takiej sytuacji upoważnienie do przeprowadzenia kontroli będzie mogło zostać okazane pracownikowi kontrolowanego lub przywołanemu świadkowi, którym powinien być funkcjonariusz publiczny. Jeżeli jest to niezbędne do wykonywania czynności kontrolnych np. gdy kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, kontrolujący może korzystać z pomocy Policji.

 

Kontrola może być przeprowadzona w godzinach 6.00 – 22.00.

 

Podczas prowadzonej kontroli kontrolujący ma prawo:

  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli – w przypadkach gdy jest to niezbędne;
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka pracowników w zakresie niezbędnym do ustalenia stanu faktycznego; przy czym za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej;
  • zlecać sporządzanie ekspertyz i opinii.

 

W uzasadnionych przypadkach, po uprzednim poinformowaniu kontrolowanego,  przebieg kontroli lub poszczególne czynności mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. W takim przypadku informatyczne nośniki danych, na których zarejestrowano przebieg kontroli lub poszczególne czynności, stanowią załącznik do protokołu kontroli.

 

Kontrolujący może żądać od kontrolowanego przedstawienia tłumaczenia na język polski dokumentów sporządzonych w języku obcym, do których uzyskał dostęp w toku kontroli – koszty tłumaczenia ponosi kontrolowany podmiot.

Kontrolujący ma również dostęp do informacji stanowiących tajemnicę prawnie chronioną, chyba że przepisy szczególne stanowią inaczej – np. przepisy zobowiązujące do zachowania tajemnicy zawodowej.

Kontrolowany ma również możliwość zastrzeżenia informacji, dokumentów lub ich części zawierających tajemnicę przedsiębiorstwa, jednak Prezes Urzędu nie jest związany zastrzeżeniem i może je uchylić, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.

Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

 

Jeżeli na podstawie zgromadzonego podczas kontroli materiału Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania, o którym mowa w art. 60 Ustawy o ochronie danych osobowych, czyli postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

 

 

Kontrola przeprowadzana przez organ nadzorczy – kontrolujący, upoważnienia (cz. II)

Kontrolującym może być jedyne upoważniony przez Prezesa Urzędu: pracownik Urzędu, a w przypadku wspólnych operacji organów nadzorczych członek lub pracownik organu nadzorczego państwa członkowskiego Unii zobowiązany do zachowania w tajemnicy informacji, o  których dowiedział się w toku kontroli.

Ponadto, mając na uwadze, że ochrona danych osobowych wymaga wiedzy z zakresu prawa, sektora IT oraz analityki, Prezesa Urzędu ma możliwość upoważnienia do udziału w kontroli osoby posiadającej ww. wiedzę specjalistyczną z zastrzeżeniem  zachowania przez tę osobę w tajemnicy informacji, o których dowiedziała się w toku kontroli.

W celu zapewnienia gwarancji bezstronnego przeprowadzenia kontroli w ustawie o ochronie danych osobowych zostały wymienione przesłanki wyłączenia osoby przeprowadzającej kontrolę w przypadku gdy:

  • wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki kontrolującego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli – przy czym powody wyłączenia, trwają również po ustaniu małżeństwa, przysposobienia, opieki lub kurateli;
  • zachodzą uzasadnione wątpliwości co do bezstronności kontrolującego.

 

Wyłączenie następuje na wniosek lub z urzędu.

Kontrolujący lub kontrolowany niezwłocznie zawiadamiają Prezesa UODO o przyczynach uzasadniających wyłączenie kontrolującego. Prezes Urzędu rozstrzyga o  wyłączeniu w formie postanowienia, przy czym  do czasu jego wydania, zgodnie z ustawą kontrolujący podejmuje czynności niecierpiące zwłoki.

Na marginesie należy zauważyć, że protokół z kontroli powinien zawierać wyjaśnienie przyczyny działań podejmowanych przez wyłączonego kontrolującego.

Kontrole będą przeprowadzane przez imiennie upoważnionych pracowników Urzędu Ochrony Danych Osobowych po okazaniu przez nich legitymacji służbowej, a w przypadku gdy kontrolującym będzie członek lub pracownik organu nadzorczego państwa członkowskiego Unii – po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość.

 

W przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, zgodnie z informacją zamieszczoną na stronie internetowej Urzędu (https://uodo.gov.pl/pl/138/465)istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście kontrolujący jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli. (…) wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych

 

Jednym z zabezpieczeń takiej legitymacji jest m.in. hologram. Musi on być na każdej legitymacji, którą posługują się kontrolerzy Prezesa UODO.”.

 

 

Kontrola przeprowadzana przez organ nadzorczy – zawiadomienie, czas trwania, protokół kontroli (cz. I)

Jednym z podstawowych uprawnień  Prezesa Urzędu Ochrony Danych Osobowych (Prezes Urzędu) jako organu nadzorczego,  jest przeprowadzanie kontroli przestrzegania przepisów o ochronie danych osobowych. Czynności kontrolne podejmowane będą zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.

 

Każdą z wskazanych powyżej kontroli poprzedzi zawiadomienie PUODO. Przepisy ustawy o ochronie danych osobowych nie regulują kwestii zawiadomienia, natomiast znajdzie tutaj zastosowania – reguła uprzedniego powiadomienia przedsiębiorcy o kontroli zawarta w art. 48 ustawy prawo przedsiębiorców z dnia z dnia 6 marca 2018r., a zgodnie z informacją zamieszczoną na stronie Urzędu Ochrony Danych – „Urząd co do zasady pisemnie uprzedza o planowanej kontroli”.

 

Prawidłowe zawiadomienie o kontroli zawiera:

  1. oznaczenie organu;
  2. datę i miejsce wystawienia;
  3. oznaczenie przedsiębiorcy;
  4. wskazanie zakresu przedmiotowego kontroli;
  5. imię, nazwisko oraz podpis osoby udzielającej upoważnienia z podaniem zajmowanego stanowiska lub funkcji.

 

Kontrola prowadzona jest nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do powyższego terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.

 

Protokół sporządzany jest w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Następnie zostaje on doręczony kontrolowanemu, który w terminie 7 dni od otrzymania protokołu zobowiązany jest do jego podpisania albo złożenia pisemnych zastrzeżenia co do jego treści. Brak aktywności po stronie kontrolowanego w ww. terminie uznany jest za odmowę podpisania protokołu.

 

W przypadku złożenia zastrzeżeń do protokołu kontroli, kontrolujący zobligowany jest  do ich przeanalizowania i jeżeli zachodzi taka potrzeba – do dokonania dodatkowych czynności kontrolnych. W przypadku uznania zastrzeżeń za zasadne kontrolujący zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu.

 

Dniem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania protokołu.

 

 

 

 

 

Upoważnienia do przetwarzania danych

Zanim Rozporządzenie o ochronie danych osobowych (RODO) zaczęło obowiązywać administratorzy danych osobowych zastanawiali się, czy konieczne będzie wydawanie upoważnień do przetwarzania danych i prowadzenie ewidencji osób upoważnionych.

Dotychczas obowiązek ten wynikał z art. 37 ustawy z dnia z dnia 29 sierpnia 1997 r.o ochronie danych osobowych (UODO), zgodnie z którym do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych oraz z art. 39 UODO, zgodnie z którym administrator zobowiązany był do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.

Jak się okazuje, obowiązek wydawania przez administratorów danych upoważnień do przetwarzania danych osobowych został w RODO utrzymany. Wskazuje na to art. 29 RODO zgodnie z którym „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.” Należy w tym miejscu podkreślić znaczenie słowa polecenie, które podkreśla istotę tego obowiązku i wskazuje, iż upoważnienie wydane bez polecenia administratora danych nie upoważnia do przetwarzania danych zgodnie z prawem.

Ponadto art. 28 pkt. 3 lit. a wskazuje, iż podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co oznacza, iż dane mogą być przetwarzane jedynie w zakresie, jaki określi administrator danych. Podobnie w art. 32 ust. 4 RODO odnoszącym się do kwestii bezpieczeństwa przetwarzania, również jest odniesienie do przetwarzania danych osobowych wyłącznie na polecenie administratora.

RODO nie wskazuje w jakiej formie upoważnienie powinno być wydane, jednak w celu zachowania zasady rozliczalności zasadne jest, aby była to forma papierowa lub elektroniczna, z zaznaczeniem, że osoba będzie miała wgląd do tego upoważnienia.

Jeśli przetwarzanie wykraczałoby poza zakres wskazany przez administratora danych w upoważnieniu, to wówczas odbywa się ono bezpodstawnie. W art. 107 Ustawy o ochronie danych osobowych zostały przewidziane kary za nielegalne przetwarzanie danych w postaci grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeśli bez uprawnienia przetwarzane są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej postępowanie takie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.